IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,具有
单点登录、强大的认证管理、基于策略的集中式
授权和审计、动态授权、企业可管理性等功能。
IAM的定义
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
当您首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的单点登录身份。此身份称为 AWS 账户根用户,可使用您创建账户时所用的
电子邮件地址和密码登录来获得此身份。强烈建议您不使用 根用户 执行日常任务,即使是管理任务。请遵守仅将 根用户 用于创建首个 IAM 用户的最佳实践。然后请妥善保存 根用户 凭证,仅用它们执行少数账户和服务管理任务。
IAM是一套全面的建立和维护数字身份,并提供有效地、安全地IT资源访问的
业务流程和
管理手段,从而实现组织
信息资产统一的
身份认证、
授权和身份数据集中管理与审计。
身份和访问管理是一套业务处理流程,也是一个用于创建和维护和使用数字身份的支持基础结构。
通俗地讲:IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的
模式和平台。
IAM 功能
IAM 为您提供以下功能:
对您 AWS 账户的共享访问权限
您可以向其他人员授予管理和使用您 AWS 账户中的资源的权限,而不必共享您的密码或访问密钥。
精细权限
您可以针对不同资源向不同人员授予不同权限。例如,您可以允许某些用户完全访问 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服务。对于另一些用户,您可以允许仅针对某些 S3 存储桶的只读访问权限,或是仅管理某些 EC2 实例的权限,或是访问您的账单信息但无法访问任何其他内容的权限。
对 AWS 资源的安全访问权限
您可以使用 IAM 功能安全地为 EC2 实例上运行的应用程序提供凭证。这些凭证为您的应用程序提供权限以访问其他 AWS 资源。示例包括 S3 存储桶和 DynamoDB 表。
多重验证 (MFA)
您可以向您的账户和各个用户添加双重身份验证以实现更高安全性。借助 MFA,您或您的用户不仅必须提供使用账户所需的密码或访问密钥,还必须提供来自经过特殊配置的设备的代码。
联合身份
您可以允许已在其他位置(例如,在您的企业网络中或通过 Internet 身份提供商)获得密码的用户获取对您 AWS 账户的临时访问权限。
实现保证的身份信息
如果您使用AWS CloudTrail,则会收到日志记录,其中包括有关对您账户中的资源进行请求的人员的信息。这些信息基于 IAM 身份。
PCI DSS 合规性
IAM 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅PCI DSS 第 1 级。
已与很多 AWS 服务集成
有关使用 IAM 的 AWS 服务的列表,请参阅使用 IAM 的 AWS 服务。
最终一致性
与许多其他 AWS 服务一样,IAM 具有
最终一致性。IAM 通过在 Amazon 的全球数据中心中的多个服务器之间复制数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。不过,更改必须跨 IAM 复制,这需要时间。此类更改包括创建或更新用户、组、角色或策略。在应用程序的关键、高可用性代码路径中,我们不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。另外,在生产工作流程依赖这些更改之前,请务必验证更改已传播。有关更多信息,请参阅我所做的更改并非始终立即可见。
免费使用
AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是为您的 AWS 账户提供的功能,不另行收费。仅当您使用 IAM 用户或 AWS STS 临时安全凭证访问其他 AWS 服务时,才会向您收取费用。有关其他 AWS 产品的定价信息,请参阅Amazon Web Services 定价页面。
关键功能
单点登录 (SSO)
通过对跨多种不同Web 应用程序、
门户和
安全域的无缝访问允许
单点登录,还支持对企业应用程序(例如,SAP、
Siebel、
PeopleSoft 以及
Oracle应用程序)的无缝访问。
强大的认证管理
提供了统一的认证策略,确保Internet 和
局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、
令牌、X.509 证书、
智能卡、定制表单和
生物识别)及多种认证方法组合提供了访问管理支持。
基于策略的集中式授权和审计
将一个企业Web
应用程序中的
客户、
合作伙伴和员工的访问管理都集起来。因此,不需要冗余、特定于应用程序的安全逻辑。可以按
用户属性、角色、组和动态组对访问权进行限制,并按位置和时间确定访问权。
授权可以在文件、
页面或
对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如
客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
动态授权
从不同本地或外部源(包括
Web服务和数据库)实时触发评估数据的安全策略,从而确定进行访问
授权或拒绝访问。通过环境相关的评估,可获得更加细化的授权。例如,限制满足特定条件(最小帐户余额)的
客户对特定
应用程序(特定银行服务)的访问权。授权策略还可以与
外部系统(例如,基于
风险的
安全系统)结合应用。
企业可管理性
提供了企业级系统
管理工具,使安全人员可以更有效地
监控、管理和
维护多种环境(包括管理
开发、测试和
生产环境)。
与4A的关系
IAM原为
北京普安思科技有限公司(PAS)的一款统一账号管理与访问控制系统,后经
中国移动交流,在原有3A(认证、
授权、审计)安全模型上加入了账号管理,形成了4A解决方案。国内少数几家有实力实施4A解决方案(IAM)的厂家为
神州泰岳、亚信、普安思科技、
亿阳信通。